Embed Size (px)
Citation preview
DoS ve DDoS Nedir?
Servis Dışı Bırakma (DoS) saldırısı kullanıcıların network kaynaklarına erişimininin önüne geçmek için yapılan her bir atağa denir.
Dağıtılmış Servis Dışı Bırakma (DDoS) saldırısında ise belirli saldırı vektörü kaynağı olarak birden çok ağ kaynakları kullanılarak yapılan her bir atağa denir.
DDoS Etkileri Nelerdir?
• İtibarın Zedelenmesi (Damage to Reputation)Sistemlerde kesinti yaratarak saldırgan bir kişi tarafından şirketin itibarının zedelenmesi.
• Gelir Kaybı (Direct Revenue Loss)Gelir kazandıran network kaynakları üzerinde yaşanan kesinti. Örneğin: e-Ticaret siteleri ve online medya kuruluşları gibi.
DDoS Etkileri Nelerdir?
• Verimden Düşmek (Lost Productivity)Çalışanın sorumlulukları dahilinde yaptığı işlere engel olma.
• Atağı Gizlemek (Attack Smokescreen)Bilgi Güvenliği personeli tarafından yapılan haince aktiviteleri örtbas etmek.
OSI Modeli Nedir?
Açık Sistemler Bağlantısı (OSI) modeli ISO (International Organization for Standardization) tarafından geliştirimiştir. Bu modelle, ağ farkındalığına sahip cihazlarda çalışan uygulamaların birbirleriyle nasıl iletişim kuracakları tanımlanır. Genelde DDoS atakları OSI katmanları içerisinde katman 3, 4 ve 7 üzerinde gerçekleştirilir.
Geniş Alan Ağı Yönledirmesi veya Bağlanabilirlik
(WAN routing/connectivity)İnternet, birbirine bağlantılı bilgisayar ağlarının oluşturduğu IPv4 ve IPv6 protokolleri ile iletişimin sağlandığı geniş bir ağdır. Küçük boyutlu ağlarda İnternet erişimi, büyük boyutlu İnternet Servis Sağlayıcıları (ISPs) tarafından sunulmaktadır. Örnek vermek gerekirse ev kullanıcıları ve küçük boyutlu şirketler örnek gösterilebilir. İnternet Servis Sağlayıcıları (ISPs) ve diğer büyük ağlar kendi aralarında birbirlerine halka açık ve özel olarak trafik değiş tokuşu (Public and Private Peering) yaparlar. İnternet özkaynaklarını paylaşarak ve birbirlerinin trafiğini taşımayı kabul ederler.
IPv4 ve IPv6
İnternet Protokolü (IP) internet’e bağlı tüm cihazların birbirleriyle iletişim halinde olduğu protokoldür. OSI modeli içerisinde yer alan bütün yüksek katmanlı protokolleri bu alt düzey protokolü içinde kapsar. IP başlık paketleri içerisinde türlü bilgiler yer alır. Bunların başında network ağ cihazlarının birbirleriyle haberleşmekte kullandığı kaynak ve hedef adres bilgisi yer alır.
TCP
Aktarma Kontrol Protokolü (TCP) OSI modelinde katman 4 üzerinde yer alan bir protokoldür. Ayrıca, iki uygulama arasında sanal devreler kurmak için kullanılır. Gelişmiş bilgisayar ağlarında paket anahtarlamalı bilgisayar iletişiminde kayıpsız veri gönderimi sağlayabilmek için TCP protokolü yazılmıştır. HTTP, HTTPS, POP3, SMTP ve FTP gibi internet'in kullanıcı açısından en popüler protokollerinin veri iletimi TCP vasıtasıyla yapılır.
UDP
Kullanıcı Veribloğu İletişim Kuralları (UDP) OSI modelinde katman 4 üzerinde yer alan bir protokoldür. Ayrıca, uygulamalar arasında veri bağlantısız iletim için kullanılmaktadır. Gelişmiş bilgisayar ağlarında paket anahtarlı bilgisayar iletişiminde bir datagram modu oluşturabilmek için UDP protokolü yazılmıştır. Bu protokol minimum protokol mekanizmasıyla bir uygulama programından diğerine mesaj göndermek için bir prosedür içerir. Bu protokol 'transaction' yönlendirmelidir. Paketin teslim garantisini isteyen uygulamalar TCP protokolünü kullanır.
ICMP
Internet Kontrol Mesaj İletişim Kuralı (ICMP) IP paketinin içinde bulunan ancak genellikle OSI modelinde katman 3 protokolünde yer alan bir protokoldür. Hataları raporlamak için kullanılan,kontrol amaçlı bir protokoldür. Bu şekilde normal kullanımının yanında, uzak sistem hakkında bilgi toplamak için sıkça kullanıldığından çok önemlidir.
HTTP(S)
Hiper-Metin Transfer Protokolü (HTTP) ve şifreli olan HTTPS protokolü OSI modelinde katman 7 üzerinde yer alan bir protokoldür. Bu protokolde verinin Dünya Çapında Ağ (WWW) üzerinden iletimi için kullanılmaktadır. Hem HTTP ve HTTPS istekleri güvenilir bir iletişim kanalı sonuçlanan TCP sanal devreler içinde gönderilir.
DNS
Alan Adı Sistemi (DNS) uygulamalarda IP adres bilgisini elde etmek için insanların okuyabileceği ağ isimlerine çeviren bir protokoldür. İnternet ağını oluşturan her birim sadece kendine ait bir IP adresine sahiptir. Bu IP adresleri kullanıcıların kullanımı için “www.site_ismi.com” gibi kolay hatırlanır adreslere karşılık düşürülür. DNS sunucuları, internet adreslerinin IP adresi karşılığını kayıtlı tutmaktadır.
BGP
Sınır Geçit Protokolü (BGP) internet üzerinde ağların birbiriyle olan bağlantısı belirleyen bir protokoldür. Bu protokol bir IP network tablosunu korur ya da otonom sistemler arasında network ün ulaşılabilirliğini gösterir. Yol vektörü protokolü gibi tarif edilir.
Bant Genişliği (Bandwidth) Saldırıları
• UDP Seli (UDP Flood)Bu atak türünde çok sayıda büyük boyutlu UDP paketleri oluşturularak yapılan saldırı türüdür. UDP internet üzerinde iletişimde yaygınca kullanılan iletişimin sağlandığı bir protokoldür. Bir çok servis bu protokolü kullanır. Örnek vermek gerekirse DNS, oyunlar, chat ve VOIP gibi. Bu atakta kullanılan paket boyutu genelde aynıdır, genelde 1500 bayt veya bağlantı için maksimum segment boyutu olarak uygulanır. IP Sahteciliği yöntemi kullanılarak sahte kaynak IP adresi ile Internet Protokolü (IP) paketlerinin oluşturularakta kullanılır.
• ICMP Seli (ICMP Flood)Bu atak türünde çok sayıda büyük boyutlu ICMP paketleri oluşturularak yapılan saldırı türüdür. ICMP internet üzerinde iletişimde yaygınca kullanılan cihazlar arası durum bilgilerini gösteren bir protokoldür. Bu atakta kullanılan paket boyutu genelde aynıdır, genelde 1500 bayt veya bağlantı için maksimum segment boyutu olarak uygulanır. IP Sahteciliği yöntemi kullanılarak sahte kaynak IP adresi ile Internet Protokolü (IP) paketlerinin oluşturularakta kullanılır.
Bant Genişliği (Bandwidth) Saldırıları
• Parçalı ICMP Seli (Fragmented ICMP Flood)Bu atak türünde ICMP Seli atağı ile aynıdır. Ancak bağlantının maksimum segment boyutundan daha büyük paketler ile yapılır. (genelde 1500 bayt) Eğer paketin veri bölümü boyutu 10.000 bayt olursa 7 parça sayısına bölünecektir. Paket hedefe ulaştıktan sonra ise alıcı cihazda ekstra CPU kaynakları kullanılarak paketi yeniden birleştirecektir.
Bant Genişliği (Bandwidth) Saldırıları
• Deprem Dalgası SYN Seli (Tsunami SYN Flood)Bu atak türünde çok sayıda büyük boyutlu TCP SYN bayraklı paketler oluşturularak yapılan saldırı türüdür. TCP internet üzerinde yaygınca kullanılan bir protokoldür. Yüksek seviyeli protokollerde örneğin HTTP(S)’de kullanılmaktadır. TCP bayrakları içerisinde yer alan “SYN” bayrağı yeni bir bağlantı oluşturulmasında kullanılmaktadır. Bu atakta kullanılan paket boyutu genelde aynıdır, genelde 1500 bayt veya bağlantı için maksimum segment boyutu olarak uygulanır. IP Sahteciliği yöntemi kullanılarak sahte kaynak IP adresi ile Internet Protokolü (IP) paketlerinin oluşturularakta kullanılır.
Bant Genişliği (Bandwidth) Saldırıları
Protokol (Protocol) Saldırıları
• Klasik ve Modern SYN Seli (Classic SYN Flood and Modern)
Klasik SYN Seli atağında hedef kaynakların tüketilmesi amacıyla düşük bant genişliği kullanılarak yapılan atak türüdür. Bu atakta TCP 3 lü el sıkışması modelinin tamamlanmaması ile sonuçlanır. Modern SYN seli atağında ise yine aynı paketler gönderilir fakat önceden gelen oldukça farklıdır. Başlıca en büyük farkı, saldırgan tarafından gönderilen saniye başına düşen paket sayısıdır.
• TCP Bağlantısı Seli (TCP Connection Flood)Bu atak türünde hedef cihazın bağlantı sınırlamasını bastırılması için denemeler yapılır, düşük bant genişliği kullanılarak yapılır. Bu saldırıda bazı TCP protokolleri üzerinden yapılır, örnek vermek gerekirse HTTP, HTTPS, SSH, SMTP vb. bağlantı odaklı hizmetlere özgüdür.
Protokol (Protocol) Saldırıları
• SlowLoris/R.U.D.Y.Slowloris ve RUDY ataklarında tamamlanmamış isteklerin gönderilmesi sonucunda, hedef bağlantı kaynaklarının sömürülmesine yol açan düşük bant genişliği ile yapılan saldırılardır. Bunun sonucunda açık süresiz bağlantıyı kurar, yavaş yavaş yasal istemcilerden gelen yeni bağlantıları almak için hedefin yeteneğini yorucu hale getirir.
Protokol (Protocol) Saldırıları
Katman 7 (Layer 7) Saldırıları
• HTTP/HTTPS İsteği Seli (HTTP/HTTPS Request Flood)HTTP ve HTTPS protokolleri Dünya Çapında Ağ (WWW) üzerinden veri göndermek ve almak için sorumlu uygulama protokolleridir. Bu protokollerde istemci ve sunucu modeli ile çalışır, istemci belirli bir kaynak üzerinden hedef sunucuya istek gönderir.
• UDP DNS İsteği Seli (UDP DNS Request Flood)DNS insanların okuyabileceği adları IP’ye çeviren bir uygulama protokolüdür. Örneğin: www.example.com sitesine ait 8.8.8.8 IP’si gibi. Tüm kuruluşların internette halka açık kullanıcıların alan adlarını çözmek için izin veren genel bir DNS sunucusu vardır. Eğer DNS sunucusu aşırı yüklenmeden dolayı yanıt vermezse, istemci hedef sunucunun IP adresini elde edemeyecektir ve bu sayede hedef kaynağa erişim sağlayamayacaktır.
Katman 7 (Layer 7) Saldırıları
Yansıma (Reflection) Saldırıları
• DNS Yansıma ve Kuvvetlendirmeli Saldırısı (DNS Reflection and Amplification Attack)
DNS internet üzerinde yaygın olarak kullanılan, alan adlarını IP çözümlenmesinde kullanılan bir protokoldür. DNS altyapısı sayısız sunucuları dizinin belirli alanlar için yetkili isim sunucuları olarak yetkilendirilen bir hiyerarşik ve küresel dağıtılmış dizinidir.
Yansıma (Reflection) Saldırıları
• NTP Yansıma ve Kuvvetlendirmeli Saldırısı (NTP Reflection and Amplification Attack)
NTP internet üzerinde kullanılan, uygulama katmanında yer alan bir protokoldür. Sunucuların saatleri doğruluğunun sağlanması için senkronize çalışmasını sağlar. Halka açık NTP altyapısı gönüllü çalışma süresi sunucularının büyük bir küresel dağıtılmış ağıdır.
Korunma Teknikleri (Mitigation Techniques)
